Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!



Ähnliche Dokumente
Internationale GMP Entwicklungen

Pragmatisches Risikomanagement in der pharmazeutischen Herstellung

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

GPP Projekte gemeinsam zum Erfolg führen

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem


Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

Eine effiziente GMP-Risikoanalyse für Pharmalieferanten

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

IDV Assessment- und Migration Factory für Banken und Versicherungen

Wir organisieren Ihre Sicherheit

J e t z t h e l f e i c h m i r s e l b s t S A P S o l u t i o n M a n a g e r o p t i m a l e i n s e t z e n Hintergrund Ihr Nutzen

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

EXZELLENTE MANAGEMENT- UNTERSTÜTZUNG AUF ZEIT

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

IT-Sicherheitsmanagement bei der Landeshauptstadt München

D i e n s t e D r i t t e r a u f We b s i t e s

Risikobasierte Bewertung von Hilfsstoffen

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Skills-Management Investieren in Kompetenz

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Professionelle Seminare im Bereich MS-Office

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Content Management System mit INTREXX 2002.

FlowFact Alle Versionen

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Kundenbefragung als Vehikel zur Optimierung des Customer Service Feedback des Kunden nutzen zur Verbesserung der eigenen Prozesse

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

The AuditFactory. Copyright by The AuditFactory

Tipps und Tricks zu Netop Vision und Vision Pro

ICS-Addin. Benutzerhandbuch. Version: 1.0

Änderung des IFRS 2 Anteilsbasierte Vergütung

Software-Entwicklungsprozesse zertifizieren

Neu als stellvertretendes Vorstandsmitglied/Verhinderungsvertreter

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Gelebtes Scrum. Weg vom Management hin zur Führung

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Qualitätsmanagement in kleinen und mittleren Unternehmen

WORKSHOP für das Programm XnView

Der Schutz von Patientendaten

Tipps und Tricks zu Netop Vision und Vision Pro

Lizenzierung von StarMoney 8.0 bzw. StarMoney Business 5.0 durchführen

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Tipps & Tricks Neuerungen Nr. 5/ Externe Web-Shops im UniKat für Laborverbrauchsmaterial & Chemikalien

Hallo, Anmeldung auf der Office-Webplattform: Seite 1 von 7 Office 365 Pro Plus

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

PCC Outlook Integration Installationsleitfaden

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

IT-Revision als Chance für das IT- Management

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx

Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Erfahrungen mit Hartz IV- Empfängern

Wurzeln als Potenzen mit gebrochenen Exponenten. Vorkurs, Mathematik

Applikations-Performance in Citrix Umgebungen

Neue Ideen für die Fonds- und Asset Management Industrie

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Deutliche Mehrheit der Bevölkerung für aktive Sterbehilfe

15 Social-Media-Richtlinien für Unternehmen!

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Software-Validierung im Testsystem

Beschreibung des MAP-Tools

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

PROTOS. Vorbereitende Arbeiten. Inhalt

Rechtssichere -Archivierung

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Lizenzierung von StarMoney 9.0 bzw. StarMoney Business 6.0 durchführen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Virtual Roundtable: Business Intelligence - Trends

Nutzung dieser Internetseite

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Saxonia Forum 2015: SMART BUSINESS APPLIKATIONEN: ZIELGRUPPENORIENTIERTE SOFTWARELÖSUNGEN

Das Lazarus-Verfahren - 1 oder auch EOR-Verfahren ( Enhanced Oil Recovery)

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

DAUERHAFTE ÄNDERUNG VON SCHRIFTART, SCHRIFTGRÖßE

Task: Nmap Skripte ausführen

Der beste Plan für Office 365 Archivierung.

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Anleitung zur Verwendung der VVW-Word-Vorlagen

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

How- to. E- Mail- Marketing How- to. Subdomain anlegen. Ihr Kontakt zur Inxmail Academy

Staatssekretär Dr. Günther Horzetzky

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Transkript:

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter Systeme eingeführt. Risikomanagement war zwar keine neue Disziplin und Technik in diesem Bereich, GAMP 5 ging jedoch einen deutlichen Schritt weiter als bisher: Er griff aktuelle Trends der Healthcare Industrie auf und setzte sie konsequent in die Validierungspraxis um. Heute sind die Methoden und Vorgehensweisen wie sie im GAMP 5 beschrieben werden, längst gelebte Praxis. Die aktuelle Herausforderung in der Validierung besteht darin, Compliance und Risiken in heterogenen Organisationen mit einer Vielzahl von Computersystemen effizient zu managen. IT Compliance und Risikomanagement Ziel der Validierung computergestützter Systeme ist sicherzustellen, dass mit ihrem Betrieb keine Risiken für die Patienten, die Qualität der Produkte oder die Integrität der Daten bestehen. Dabei ist die Validierung computergestützter Systeme auf Grund von GxP-Anforderungen für die meisten Unternehmen nur eine von vielen Anforderungen, die an IT Compliance gestellt werden. Neben GxP bestehen weitere Anforderungen, die von den Betreibern der IT Systeme erfüllt werden müssen, z.b. Datenschutz, z.b. Umgang mit personenbezogenen Daten Gesetzliche Anforderungen, z.b. SOX Informationssicherheit, z.b. ISO 27000 Unternehmensinterne Compliance, z.b. von Quality Management und Internal Audit Neben anderen Neuerungen gegenüber der Vorgängerversion GAMP 4 von 2001 betont GAMP 5 wesentlich stärker die folgenden Aspekte der Validierung: Fokussierung auf das Risiko für den Patienten Integration der Validierungsaktivitäten in ein Qualitätsmanagement-System Stärkere Einbeziehung des Lieferanten in die Validierungstätigkeiten Integriertes Risikomanagement in allen Lebenzyklusphasen 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 1 of 6

Risikomanagement, wie auch im GAMP 5 gefordert, trägt dazu bei, Compliance- Anforderungen fokussiert und effizient zu erfüllen. GAMP 5 schlägt einen fünfstufigen Risikomanagement-Prozess vor (GAMP 5, Appendix M3 Science Based Quality Risk Management), wobei sich dieser Artikel im Wesentlichen auf die letzten beiden Schritten des Prozesses fokussiert: Abbildung 1: GAMP 5 Risikomanagement-Prozess Auf Basis der Compliance-Frameworks (z.b. GxP, SOX, etc.) und einer entsprechenden Risikoanalyse werden Kontrollen definiert, die sicherstellen, dass die identifizierten Risiken regelmäßig überprüft und überwacht werden. Im klassischen Ansatz werden diese Kontrollen für alle Compliance-Frameworks separat eingeführt und überwacht: Abbildung 2: Risikomanagement für unterschiedliche Compliance-Anforderungen 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 2 of 6

Eine Vielzahl der Kontrollen kommt allerdings mehr oder weniger identisch in den unterschiedlichen Compliance-Frameworks (GxP, SOX, etc.) vor, so dass diese in verschiedenen Zyklen mehrfach überprüft werden. So taucht beispielsweise die Einführung und Pflege eines Änderungsprozesses als Kontrolle in fast allen Compliance-Anforderungen auf. Dazu kommt, dass sich viele Kontrollen auf Prozesse beziehen, die wiederum für eine Vielzahl von Computersystemen gelten, z.b. der Änderungsprozess. Schlussfolgernd kann man also feststellen, dass wir entsprechende Risikomanagementprozesse zwar weitestgehend eingeführt haben, diese aber durch eine Vielzahl von Compliance-Anforderungen und Anwendung auf zahlreiche IT- Systeme redundant und mit erheblichem Aufwand in der Gesamtorganisation umsetzen. Das führt in der Regel zu einem hohen, aber unnötigen Mehraufwand für die Definition und Durchführung der Kontrollen. Es kann sogar zu widersprüchlichen Bewertungen einzelner Kontrollen kommen, da diese über die verschiedenen Frameworks nicht vereinheitlicht sind und daher von den Fachabteilungen unterschiedlich bewertet werden. Mangelnde Transparenz über den tatsächlichen Compliance-Status innerhalb der Organisation tun dann ihr übriges, dass das System hinter den Erwartungen zurückbleibt. Die gewünschte Compliance wird zwar erreicht, aber nur mit erheblichem Kostenaufwand und dem Risiko, dass es bei Audits und Inspektionen auf Grund der Unübersichtlichkeit zu unangenehmen Überraschungen kommt. Integriertes Risikomanagement Eine Lösung, diese Risikomanagementprozesse auf effiziente Weise in der Gesamtorganisation umzusetzen, ist die Einführung eines integrierten Risikomanagements: Abbildung 3: Integriertes Risikomanagement 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 3 of 6

Statt Kontrollen für jede Compliance-Anforderung separat zu definieren und überwachen, werden die Kontrollen in einem vereinheitlichten System zusammengefasst. Herausforderungen eines solchen integrierten Risikomanagements sind, dass Kontext und Zeitpunkt der Anforderungen nicht einheitlich sind, z.b. die SOX-Kontrollen werden zu einem anderen Zeitpunkt und ggf. anderen Organisationseinheiten geprüft als die GxP-Anforderungen. Der integrierte Ansatz erfordert eine gewisse Abstraktion der Kontrollen, damit diese für alle Compliance-Frameworks gültig sind. Diese notwendige Abstraktion könnte zu unterschiedlichen Interpretationen in den verschiedenen Organisationseinheiten des Unternehmens führen. Auf der anderen Seite erlaubt der integrierte Ansatz eine einheitliche unternehmensweite Basis der Kontrollen und damit eine erhebliche Reduktion des Aufwandes. Gleichzeitig wird die Vergleichbarkeit der Ergebnisse über Organisations- und Systemgrenzen hinweg ermöglicht und die erforderliche Transparenz hergestellt. In der praktischen Umsetzung definiert man zunächst die Kontrollen der verschiedenen Frameworks und vereinheitlicht jene Kontrollen, die in mehren Frameworks auftauchen. In allen Frameworks GxP, Sox,...) wird z.b. die Definition und Anwendung eines Änderungsprozesses erwartet. Tool-Unterstützung Um die Kontrollen effizient zu managen, steht im einfachsten Fall Microsoft Excel als Tool zur Verfügung. Excel bietet sich für Organisationen an, die nur wenige Applikationen auf Compliance prüfen müssen. Sobald man eine größere Anzahl von Applikationen managen muss oder Ergebnisse über Organisationsgrenzen hinweg konsolidieren möchte, wird der Aufwand bei der Verwendung von Excel enorm hoch, bzw. ist nicht mehr durchführbar. Eine Alternative zu Excel stellen Datenbankanwendungen dar, die auf Risk & Compliance Management spezialisiert sind. Diese bieten gegenüber Excel den Vorteil, dass der gesamte Risikomanagement Workflow in einem integrierten Tool abgebildet wird: Definieren der Assessments und Kontrollen Durchführen der Assessments und Bewerten der Kontrollen Identifizieren der Compliance-Abweichungen Bewerten der Risiken Steuern und überwachen der Maßnahmen zur Risikominimierung Ein weiterer Vorteil besteht darin, dass entsprechende Berichte und Management- Dashboards integriert sind und nicht mühsam aus einer Vielzahl von Excel-Tabellen gebildet werden müssen: 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 4 of 6

Abbildung 4: Dashboard des Risikomanagement- Tool (RicoLution) Wenn man die Assessments jährlich durchführt (Stichwort Periodic Review, GAMP 5 Appendix O8), erlaubt ein Tool Zugriff auf die Historie aller bisher durchgeführten Assessments. Damit lassen sich Trends schnell erkennen und Verbesserungspotenzial einfach identifizieren. Mit Excel wäre das in dieser Form nicht möglich. Das angewendete Compliance-Framework ist in der Regel bei diesen Tools vielseitig einsetzbar, d.h. sie sind nicht auf das Compliance- und Risikomanagement für IT Systeme beschränkt und können z.b. auch für das Management von GMP- Compliance und Risiken eingesetzt werden. Fazit Wenn es um eine Vielzahl von Prozessen und IT Anwendungen geht, wird der klassische Ansatz Compliance und Risiken zu managen, extrem aufwändig oder sogar undurchführbar. Integriertes Risikomanagement ist eine Lösung, um Compliance-Anforderungen in Unternehmen mit komplexen Organisationsstrukturen und vielen IT Anwendungen zu erfüllen. Der Einsatz geeigneter Tools gewährleistet den Blick von oben und die notwendige Transparenz, sowie ein effizientes Management der Kontrollen und Compliance-Assessments auch über Organisationsgrenzen hinweg. 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 5 of 6

Literaturhinweise 1. GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems ISPE 2008 2. GAMP Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems ISPE 2009 3. GMP Berater Online Maas & Peither AG GMP-Verlag 4. GAMP 5 Risk-Based Approach - Risiken global managen Vortrag auf der Vision Pharma 2012, Karlsruhe Thomas Halfmann Autor Thomas Halfmann Partner der Unternehmensberatung Halfmann Goetsch Peither AG, Schweiz, Deutschland, Singapur 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 6 of 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback